本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 使用最低的 TLS 协议版本保护你的 Lightsail 发行版
<a name="amazon-lightsail-configure-distribution-tls-version"></a>

Amazon Lightsail 使用 SSL/TLS 证书来验证您可以在 Lightsail 发行版中使用的自定义（注册）域名。本指南提供了有关您可以为证书配置的查看器最低 TLS 协议版本（协议版本）的信息，请参阅 Lightsail [中的 SSL/TLS SSL/TLS certificate. For more information about SSL/TLS](understanding-tls-ssl-certificates-in-lightsail-https.md) 证书。查看器是一种向与您的 Lightsail 发行版关联的边缘站点发出 HTTP 请求的应用程序。有关发行版的更多信息，请参阅 [Lightsail 中的内容分发网络分发](amazon-lightsail-content-delivery-network-distributions.md)。

当您为分配启用自定义域时，默认情况下会配置 `TLSv1.2_2021` 协议版本。如本指南后面所述，您可以配置不同的协议版本。Lightsail 发行版不支持自定义 TLS 协议版本。

## 受支持的协议
<a name="load-balancer-supported-policies"></a>

Lightsail 发行版可以使用以下 TLS 协议进行配置：
+ （推荐） TLSv1.2\$12021
+ TLSv1.2\$12019
+ TLSv1.2\$12018
+ TLSv1.1\$12016

## 先决条件
<a name="configure-distribution-tls-policy-prerequisites"></a>

满足以下先决条件（如果尚未满足）：
+ [创建 Lightsail 内容分发网络发行版](amazon-lightsail-creating-content-delivery-network-distribution.md)
+ [为您的发行版创建 SSL/TLS 证书](amazon-lightsail-create-a-distribution-certificate.md)
+ [验证您的发行版的 SSL/TLS 证书](amazon-lightsail-validating-a-distribution-certificate.md)
+ [启用分配的自定义域](amazon-lightsail-point-domain-to-distribution.md)
+ [将域指向该分配](amazon-lightsail-point-domain-to-distribution.md)

## 确定您的分配的最低 TLS 协议版本
<a name="identify-distribution-tls-policy-prerequisites"></a>

完成以下步骤以确定您的 Lightsail 发行版的最低 TLS 协议版本

**注意**  
在本指南中，您将使用 AWS CloudShell 来执行升级。 CloudShell 是一款基于浏览器的预先认证外壳，您可以直接从 Lightsail 控制台启动它。使用 CloudShell，您可以使用首选外壳运行 AWS CLI 命令，例如 Bash PowerShell、或 Z shell。您无需下载或安装命令行工具，即可完成此操作。有关如何设置和使用的更多信息 CloudShell，请参阅 [Lightsai AWS CloudShell l 中的](amazon-lightsail-cloudshell.md)。

1. 打开终端、[AWS CloudShell](amazon-lightsail-cloudshell.md) 或命令提示符窗口。

1. 输入以下命令来确定您的 Lightsail 发行版的最低 TLS 协议版本。

   ```
   aws lightsail get-distributions --distribution-name DistributionName --region us-east-1 | grep "viewerMinimumTlsProtocolVersion"
   ```

   在命令中，*DistributionName*替换为要修改的发行版的名称。

   **示例**

   ```
   aws lightsail get-distributions --distribution-name Distribution-1 --region us-east-1 | grep "viewerMinimumTlsProtocolVersion"
   ```

   该命令将返回分配的最低 TLS 协议版本的 ID。

   **示例**

   ```
   "viewerMinimumTlsProtocolVersion": "TLSv1.2_2021"
   ```

## 使用配置最低 TLS 协议版本 AWS CLI
<a name="configure-distribution-tls-version-cli"></a>

完成以下过程以使用 AWS Command Line Interface （AWS CLI）配置 TLS 协议版本。使用 `update-distribution` 命令完成此操作。*有关更多信息，请参阅AWS CLI 命令参考*中的 [update-distribution 属性](https://docs.aws.amazon.com/cli/latest/reference/lightsail/update-distribution.html)。

1. 打开终端、[AWS CloudShell](amazon-lightsail-cloudshell.md) 或命令提示符窗口。

1. 输入以下命令以更改分配的最低 TLS 协议版本。

   ```
   aws lightsail update-distribution --distribution-name DistributionName --viewer-minimum-tls-protocol-version ProtocolVersion
   ```

   在该命令中，将以下示例文本替换为自己的文本：
   + *DistributionName*使用您要更新的发行版的名称。
   + *ProtocolVersion*使用有效的 TLS 协议版本。例如，`TLSv1.2_2021` 或 `TLSv1.2_2019`。

   示例：

   ```
   aws lightsail update-distribution --distribution-name  MyDistribution --viewer-minimum-tls-protocol-version TLSv1.2_2021
   ```

   您的更改需要一些时间才能生效。